情報セキュリティ

はじめての認証

最終更新日:2018年3月5日

ここでは、はじめて認証を申請する方や申請を検討している方に対し、申請の事前準備や申請手順について概要を理解いただくための情報を提供しています。

認証申請にあたり

認証申請にあたり、申請者はその目的と範囲をあらかじめ明確にしておく必要があります。特に本制度の目的が政府調達における安全な製品の提供であり、ひいては国民への安全なサービスの提供であることを認識し、調達者にとっての要件や機能の妥当性を検討しなければなりません。この検討が十分にされていないと、評価・認証の過程における是正等で無駄なコストや工数が発生するリスクを負うこととなります。

セキュリティ評価とその目的

本制度では、製品やシステムのセキュリティ機能を国際的な規格に沿って評価します。 評価は、製品のセキュリティ機能を提供するもの(開発者)が、それを利用するもの(調達者)に対してセキュリティ機能の使用目的や使用条件などのセキュリティ目標を明確にし、第三者(評価機関)がそのセキュリティ目標を達成するのに妥当な機能及び実装であることを検査します。

セキュリティ評価の意義は、その製品やシステムのセキュリティ機能について、利用者にその目的と環境を伝えることで、安全な使用を促し、また第三者評価を通じて製品使用に対する安心を与えるものとなります。

また、本制度での認証結果はCCRAという国際的なアレンジメントに基づき、CCRA加盟国で相互に承認されることになりますので、たとえば他国で製品調達要件としてCCの認証取得を要求されている場合には、わが国での認証取得結果を利用できることになります。

それ以外にも、セキュリティ評価は、IT及びセキュリティの専門家が行うため、貴社では気が付かなかった製品の脆弱性につながりかねない製品開発環境や開発手順等の懸念事項を洗い出す効果もあります。一度評価を受けて認証を取得し、その経験を生かして自らが安全な開発サイクルを作り上げるという利用方法もあります。

セキュリティ評価の対象

 対象はセキュリティ機能を持つIT製品です。日本における政府調達の対象分野は、経済産業省の「IT製品の調達におけるセキュリティ要件リスト(PDF)」を参照してください。ただし、認証申請にあたり、貴社で申請する製品を評価可能な評価機関が必要となります。特に特定の分野での特殊な技術や設備を必要とするような場合、評価機関が対応できない場合がありますので、事前に各評価機関に専門分野をご確認ください。

セキュリティ評価の範囲

 評価は、セキュリティ機能のふるまいだけではなく、証拠資料としてその設計、開発環境、マニュアルなども対象となります。どのような証拠資料をどれだけ厳密に検査するかは、どの評価保証コンポーネントを選択するかによって異なります。これらの評価の範囲は調達者が要求仕様(PP: プロテクションプロファイル)として示すものです。  
また、PPを用いず製品開発者みずからがどのような環境で、どのような脅威から何を守るのかというセキュリティ目標を独自のSTにて明確にし、消費者にアピールすべき適切な評価内容を決定することもできます。この決定は、コストに大きく影響をしますので、意味のあるかつ過度にならない評価保証のレベルを慎重に検討してください。評価の範囲の決定については「 PP/独自ST作成のためのTOE範囲決定に係る指針(PDF:609KB)」を参照してください。

評価基準の理解

有効でコスト的にも適切な認証取得のためには、申請者はセキュリティ評価基準(Common Criteria)の理解は不可欠です。特に申請者みずから作成した独自STに基づいて評価する場合は、評価する製品のセキュリティ目標を正しく伝えること(独自STの作成)と、効果的な評価保証のレベルを決定すること(評価保証コンポーネントの選択)について、規格書を参照し概要を把握しましょう。

申請者がみずから主張すべきセキュリティ目標や評価の対象となる範囲を把握していない場合、評価関係者間の理解の齟齬により、正しい対応ができずにその是正に多大なコストが発生したり、外部関係者との調整が困難であることが評価過程に発覚したりすることとなります。申請者は必ずPP及びSTの内容については十分な理解を持ち、評価フェーズでは評価者などに規格の内容や評価時に発生した問題を確認してください。また、JISECではセミナーなども実施しておりますので、是非ご利用ください。

申請費用について

  •  認証取得にかかる費用は、認証機関 (IPA) に支払う認証申請手数料と評価機関に支払う評価費用がかかります(評価費用については各評価機関にお問い合わせください)。評価費用は、評価対象の製品の特性や評価範囲あるいは評価保証レベルにより異なってきます。申請においては、提供できる資料、開発スケジュール、内部工数を含めた投資費用に対する効果などを考慮し評価保証レベルを決定します。

  • 申請後に、「申請取下げ届」を提出することにより申請の取下げを行うことができますが、一旦支払われた申請手数料は返金されませんのでご注意ください。

コンサルティングサービスの活用

  • セキュリティ評価・認証にあたる専任体制をビジネス的に構築できない、あるいはセキュリティ評価に関する知識・経験が不足しているなどの理由で、外部リソースとしてコンサルティングサービスを活用するという選択肢があります。
  • 認証機関であるIPAでは、コンサルティングサービスは行っていませんが、多くの会社でISO/IEC15408に基づくITセキュリティ評価のコンサルティングサービスや脆弱性診断サービスを提供しています(IPAではコンサルティングサービス等の紹介は行っていません)。
  • 認証取得トータルサービスや独自STの作成支援、評価用提供物件作成支援、脆弱性評定など、様々なサービスがあります。コンサルティングサービスを活用する場合には、申請者サイドで行う内容と、コンサルティングサービスにお願いしたい内容を整理しましょう。また、コンサルタントが実施した部分の内容については誰も理解していないことがないように、申請者はコンサルティングの内容を把握しておきます。特に申請者がSTの内容を理解していないような場合、作成されたSTが意図されたセキュリティ機能の要件や根拠を示していないため、評価時にかえって多くの見直しが発生するケースがあります。
  • なお、評価機関は評価の公平性及び独立性の立場から、当該評価機関の申請案件のコンサルティングを行えません。みずからコンサルティングサービスとして指導したものを評価することは、公平性及び独立性を確保できません。

認証申請から取得までのステップの理解

  •  認証申請から認証書取得までの概要については、評価・認証の流れをご参照ください。 誰がどのようなことをすべきかを簡単にまとめて時系列に記述しています。

認証申請手続

  •  認証申請に必要な書類や規程については、認証申請手続をご参照ください。実際の申請においては、これらの規程を理解し、指定された様式で手続をしてください。